这两天学习木马;实验的时候我发现我明明步骤没有问题冰河服务端的7626端口也是开启的,但是冰河的客户端一直监听不到服务端;经过了各种尝试之后发现只是一个小操作问题;在这里记录一下,顺便复习一下冰河;
0x00 实验前准备
冰河木马毕竟比较久远了,它是只能在32位的操作系统上运行!!!的,如果运行在64位操作系统上你会发现7626端口并没有开启而且注册表中也没有添加上注册项
**
攻击机:windows xp 32位
目标机:windows xp 32位
冰河木马:可以自行上网下载,这里提供一个我用的版本
链接: https://pan.baidu.com/s/16cngpig9atXUL7y4CP8BMQ 提取码: y4sj 复制这段内容后打开百度网盘手机App,操作更方便哦
0x01 查看攻击机和目标机的IP
打开运行(可以搜索运行 或者 按住键盘上windows的图标 + R),输入cmd进入命令行窗口,在其中输入 ipconfig;
这里我们得到我的攻击机IP为:192.168.13.138
同样的方法打开目标机查看IP;得到目的机IP为:192.168.13.137
0x02 配置冰河木马的服务器端
这里提一句,将冰河木马放在虚拟机中的方法:
方法一:
直接在虚拟机中下载冰河木马
方法二:
下载好之后从物理机中移动到虚拟机;如果想从物理机移动的话则需要在虚拟机中安装vmTools,安装方法很简单:
点击上方选项卡“windows xp”的部分,右键,选择“安装VMware Tools”即可(因为我已经安装过了,所以这里显示的是重新安装);安装过程直接下一步下一步完成就好了;安装完成后虚拟机应该会提示“建议您重启该虚拟机以生效”,按照他的指示重启就好,然后我们就可以将物理机上的文件拖动到虚拟机中了
然后我们在攻击机中打开冰河文件夹的客户端程序开始配置服务端:
扩展知识:
G_CLIENT.EXE:是客户端程序,是攻击机使用的,用来配置服务端的
G_SERVER.EXE:是服务端程序,当在客户端配置完成后将该程序发送给目标机让目标机运行的
Operate.ini:是配置文件,我们在G_CLIENT.EXE中配置的东西都会在该文件中展示
READEME.TXT:是这个的开发者给我们写的使用说明,有需要的话可以自行观看
第一次双击客户端程序进入后,左侧那一栏会有很多主机符号,但其实都没有用因为都连接不上,我们可以点击删除符号后将其中的主机都清空
清空完后,我们点击上方的 设置 -> 配置服务器程序 开始配置我们的服务端
第一个选项卡是基本配置
扩展知识:
- 安装路径:是我们想让服务端程序安装到目标机的位置,他提供了3个选项,分别是:
- WINDOWS:服务端程序会放在目标机中C盘下的一个叫WINDOWS的文件夹中
- SYSTEM:服务端程序放在目标机C盘中的SYSTEM文件夹下;和WINDOWS不同的是,SYSTEM下的系统文件本就多,所以藏在里面不容易被发现;这里我们就选择SYSTEM文件夹
- TEMP:也是C盘的一个文件夹,只是她默认是隐藏掉这个文件夹的
- 文件名称:是我们给它取的一个想让它在目标机中显示的名字,目的就是为了隐藏自己;可以自己取也可以就按默认的来;这里我就按默认的名字
- 访问口令:为了防止别人篡改我们的服务端程序而设置的口令;可以自行选择设置或者不设置;这里我们默认不设置
- 监听端口:是服务端程序运行后也是我们要监听的端口,默认是7626;也可以自行修改,但注意不要和已经存在的端口一样
- 待配置文件:待配置的就是我们的服务端程序;所以我们点击右边的“…”符号,然后找到冰河文件夹,点击里面的server程序
配置好之后是这样的:
然后点击自我保护选项,开始配置注册表信息:
键名:是我们写入注册表的名字,可以自行定义,这里我们写bignhe;其余的默认就好
到这里,配置服务端程序就算完成了;点击确定即可
0x03 发送服务端程序到目标机
方法一:
通过远程连接的方式将G_SERVER.EXE发送给目标机;
ps:想通过远程连接的话,需要在目标机中设置允许远程连接;在目标机中点击 我的电脑 -> 选择属性 -> 选择远程;勾选上 “允许用户远程连接到此计算机”
然后在攻击机中,选择所有程序 -> 附件 -> 通讯 -> 远程桌面连接;输入目标机的IP地址和用户名(用户名一般都是Administrator)即可连接
方法二:
将G_SERVER.EXE复制到物理机中然后再从物理机复制到目标机中;
但是这个方法一定要注意不要在物理机中双击这个程序!不要在物理机中双击这个程序!不要在物理机中双击这个程序!(重要的事情说三遍)否则你的物理机就会中毒
移动到物理机的过程中可能会被杀毒软件自动清除掉,你可以选择在杀毒软件中找回他或者干脆就在移动之前关掉杀毒软件;
移动完成后请立即将该程序删除并从回收站中删除以除后患!
0x04 目标机运行服务端程序
在目标机中双击运行G_SERVER.EXE,运行后并不会有什么反应,但是我们可以在服务端口中看到7626端口已经被开启,这就代表客户端可以监听服务端程序了
ps:查看服务端口的方法,按住windows +R 输入cmd打开命令窗口,输入: netstat -an
0x05 客户端监听服务端程序
在攻击机中,双击打开G_CLIENT.EXE
因为我们已经知道了目标机的IP,所以我们选择第一个手动添加进来;
也可以选择第三个图标进行搜索,但是一般是不太搜索的到的;当然如果你运气好的话也能搜到;搜到的话前面有个OK的标识符(这里因为我没有搜索成功所以就不贴图了)
输入目标机的IP地址(前面第一步我们已经得到了),点击确定;(这里IP具体是多少根据自己的情况而定)
添加完成后,左侧的列表就会有我们添加的机器了;我们看到机器前面有个小加号,如果点开加号下面有东西则代表我们成功的监听了目标机;
问题来了!
我添加了之后下面的进度条一直显示我连接失败!像这样:
在我经过一众排查后,我想到可能是因为我的目标机没有关防火墙所以被拦截了;因此我又到目标机中关掉防火墙:
在目标机中的 开始菜单中选择 控制面板 -> 安全中心 -> 选择下面的windows防火墙
将这里的启用改为关闭;此时再次在攻击机中连接就发现可以连接成功了
此时我们就可以查看目标机下的文件了
其中图中的1是查看屏幕:即可以查看当前目标机的电脑状态
图中的2是控制屏幕:即我们可以操作目标机
图中的3是冰河信使:相当于一个攻击机和目标机单聊的窗口,可以互发消息
更多功能这里就不赘述了,请自行探索
0x06 删除冰河木马
方法一:反卸载
在攻击机中的额G_CLIENT.EXE中选中目标机然后点击命令控制台,找到控制类命令,选择系统控制,点击自动卸载冰河即可
方法二:手动卸载
- 在目标机中打开任务管理器(点击xp电脑最下方的导航栏右键 -> 选择任务管理器);找到这个KERNEL32.EXE,选择下面的结束进程
- 在桌面删除G_SERVER.EXE程序并清空回收站
- 打开注册表(按住windows图标 + R),输入:regedit
- 打开注册表后,按这个目录找到我们添加的注册项“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”找到binghe这一项,右键删除
- 在“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunService”下找到binghe这一项,右键删除
- 在“HKEY_CLASSES_ROOT/txtfile/shell/open/command”下找到默认这一项,右键修改!注意是修改不是删除!!!
将他的值改为:C:\WINDOWS\notepad.exe %1
点击确定后就算全部删除完成了
本文章仅供学习参考,禁止以此做任何危害他人利益的事情!!!
本文章仅是个人的学习总结,若有任何不正确的地方欢迎各位批评指正
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
